Freigeben über


Tenable Identity Exposure-Connector für Microsoft Sentinel

Tenable Identity Exposure Connector ermöglicht die Aufnahme von Indikatoren für Gefährdung und Indikatoren für Angriffs- und Trailflow-Protokolle in Microsoft Sentinel. Die verschiedenen Arbeitsbücher und Datenparser ermöglichen es Ihnen, Protokolle einfacher zu bearbeiten und Ihre Active Directory-Umgebung zu überwachen. Mithilfe der Analysevorlagen können Sie Antworten auf verschiedene Ereignisse, Expositionen und Angriffe automatisieren.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Kusto-Funktionsalias afad_parser
Log Analytics-Tabellen Tenable_IE_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Tenable

Abfragebeispiele

Anzahl der von jedem IoE-Ereignis (Indicators of Exposures) ausgelösten Warnungen abrufen

afad_parser

| where MessageType == 0

| summarize AlertCount = count() by Codename

Alle IoE-Warnungen mit Schweregrad über dem Schwellenwert abrufen

let threshold = 2;
let SeverityTable=datatable(Severity:string,Level:int) [
"low", 1,
"medium", 2,
"high", 3,
"critical", 4
];
afad_parser

| where MessageType == 0

| lookup kind=leftouter SeverityTable on Severity

| where Level >= ['threshold']

Alle IoE-Warnungen für die letzten 24 Stunden abrufen

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(1d)

Alle IoE-Warnungen für die letzten 7 Tage abrufen

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(7d)

Alle IoE-Warnungen für die letzten 30 Tage abrufen

afad_parser 
| where MessageType == 0 and TimeGenerated > ago(30d)

Alle Änderungen am Nachverfolgungsflow für die letzten 24 Stunden abrufen

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(1d)

Alle Änderungen am Nachverfolgungsflow für die letzten 7 Tage abrufen

afad_parser 
| where MessageType == 1 and TimeGenerated > ago(7d)

Anzahl der von jedem IoA-Ereignis ausgelösten Warnungen abrufen

afad_parser

| where MessageType == 2

| summarize AlertCount = count() by Codename

Alle IoA-Warnungen für die letzten 30 Tage abrufen

afad_parser 
| where MessageType == 2 and TimeGenerated > ago(30d)

Voraussetzungen

Um mit Tenable Identity Exposure zu integrieren, stellen Sie sicher, dass Sie Folgendes haben:

  • Zugriff auf TenableIE-Konfiguration: Berechtigungen zum Konfigurieren des Syslog-Warnungsmoduls

Installationsanweisungen des Anbieters

Dieser Daten-Connector ist abhängig von einem afad_parser, der auf einer Kusto-Funktion basiert, damit er wie erwartet funktioniert, die mit der Microsoft Sentinel-Lösung bereitgestellt wird.

  1. Konfigurieren des Syslog-Servers

    Sie benötigen zunächst einen Linux-Syslog-Server, an den TenableIE Protokolle sendet. Unter Ubuntu können Sie in der Regel rsyslog ausführen. Sie können diesen Server dann wie gewünscht konfigurieren. Es wird jedoch empfohlen, TenableIE-Protokolle in eine separate Datei auszugeben.

    Konfigurieren Sie rsyslog so, dass Protokolle von Ihrer TenableIE-IP-Adresse akzeptiert werden.

    sudo -i
    
    # Set TenableIE source IP address
    export TENABLE_IE_IP={Enter your IP address}
    
    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-tenable.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $TENABLE_IE_IP
    \$AllowedSender UDP, 127.0.0.1, $TENABLE_IE_IP
    \$template MsgTemplate,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %programname%[%procid%]:%msg%\n"
    \$template remote-incoming-logs, "/var/log/%PROGRAMNAME%.log"
    *.* ?remote-incoming-logs;MsgTemplate
    EOF
    
    # Restart rsyslog
    systemctl restart rsyslog
    
  2. Installation und Onboarding des Microsoft-Agent für Linux

    Der OMS-Agent empfängt die TenableIE-Syslog-Ereignisse und veröffentlicht sie in Microsoft Sentinel.

  3. Überprüfen der Agentprotokolle auf dem Syslog-Server

    tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    
  4. Konfigurieren von TenableIE zum Senden von Protokollen an Ihren Syslog-Server

    Wechseln Sie im TenableIE-Portal zu System, Konfiguration und dann Syslog. Dort können Sie eine neue Syslog-Warnung für den Syslog-Server erstellen.

    Überprüfen Sie anschließend, ob die Protokolle auf dem Server ordnungsgemäß in einer separaten Datei gesammelt werden. Dazu können Sie die Schaltfläche Test the configuration (Konfiguration testen) in der Syslog-Warnungskonfiguration in TenableIE verwenden. Wenn Sie die Schnellstartvorlage verwendet haben, lauscht der Syslog-Server standardmäßig an Port 514 bei UDP und 1514 bei TCP ohne TLS.

  5. Konfigurieren der benutzerdefinierten Protokolle

Konfigurieren Sie den Agent, um die Protokolle zu erfassen.

  1. Wechseln Sie in Microsoft Sentinel zu Konfiguration –>Einstellungen –>Arbeitsbereichseinstellungen –>Benutzerdefinierte Protokolle.

  2. Klicken Sie auf Benutzerdefiniertes Protokoll hinzufügen.

  3. Laden Sie eine Syslog-Beispieldatei TenableIE.log vom Linux-Computer mit dem Syslog-Server hoch, und klicken Sie auf Weiter.

  4. Legen Sie das Datensatztrennzeichen auf Neue Zeile fest, wenn dies noch nicht geschehen ist, und klicken Sie auf Weiter.

  5. Wählen Sie Linux aus, geben Sie den Dateipfad zur Syslog-Datei ein, klicken Sie auf + und dann auf Weiter. Der Standardspeicherort der Datei ist /var/log/TenableIE.log. Wenn Sie über eine Tenable-Version <3.1.0 verfügen, müssen Sie auch diesen Linux-Dateispeicherort /var/log/AlsidForAD.log hinzufügen.

  6. Legen Sie den Namen auf Tenable_IE_CL fest (Azure fügt _CL am Ende des Namens automatisch hinzu, und es darf nur einmal vorhanden sein, stellen Sie also sicher, dass der Name nicht Tenable_IE_CL_CL ist).

  7. Klicken Sie auf Weiter und dann auf Erstellen.

  8. Viel Erfolg!

Sie sollten jetzt Protokolle in der Tabelle Tenable_IE_CL empfangen können. Protokolldaten können mithilfe der Funktion afad_parser() analysiert werden, die von allen Abfragebeispielen, Arbeitsmappen und Analysevorlagen verwendet wird.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.